Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat am Montag die kürzlich bekannt gewordene Schwachstelle in Spring Framework, die Remote Code Execution (RCE) betrifft, in ihren Katalog der bekannten Schwachstellen aufgenommen, da es „Hinweise auf eine aktive Ausnutzung“ gibt.
Die kritische Schwachstelle mit der Kennung CVE-2022-22965 (CVSS-Score: 9.8) und dem Namen „Spring4Shell“ betrifft Spring Model-View-Controller (MVC) und Spring WebFlux-Anwendungen, die auf Java Development Kit 9 und höher laufen.
„Die Ausnutzung erfordert einen Endpunkt mit aktiviertem DataBinder (z. B. eine POST-Anfrage, die Daten aus dem Anfragebody automatisch entschlüsselt) und hängt stark vom Servlet-Container der Anwendung ab“, stellten die Praetorian-Forscher Anthony Weems und Dallas Kaman letzte Woche fest.
Obwohl die genauen Details des Missbrauchs in freier Wildbahn noch unklar sind, sagte das Informationssicherheitsunternehmen SecurityScorecard, dass „aktives Scannen nach dieser Schwachstelle von den üblichen Verdächtigen wie dem russischen und chinesischen IP-Raum beobachtet wurde“.
Ähnliche Scanning-Aktivitäten wurden von Akamai und Unit42 von Palo Alto Networks beobachtet, wobei die Versuche zum Einsatz einer Web-Shell für den Backdoor-Zugang und zur Ausführung beliebiger Befehle auf dem Server führten, mit dem Ziel, andere Malware auszuliefern oder sich im Zielnetzwerk zu verbreiten.
Laut einer von Sonatype veröffentlichten Statistik entfallen 81 % der gesamten Downloads aus dem Maven Central Repository seit Bekanntwerden des Problems am 31. März auf potenziell verwundbare Versionen des Spring Frameworks.
Cisco, das aktiv untersucht, welche seiner Produkte von der Sicherheitslücke betroffen sein könnten, bestätigte, dass drei seiner Produkte betroffen sind –
Cisco Crosswork Optimization Engine
Cisco Crosswork Zero Touch Provisioning (ZTP), und
Cisco Edge Intelligence
VMware hat seinerseits ebenfalls drei seiner Produkte als anfällig eingestuft und bietet gegebenenfalls Patches und Umgehungslösungen an.
VMware Tanzu Application Service für VMs
VMware Tanzu Operations Manager, und
VMware Tanzu Kubernetes Grid Integrated Edition (TKGI)
„Ein böswilliger Akteur mit Netzwerkzugriff auf ein betroffenes VMware-Produkt kann dieses Problem ausnutzen, um die vollständige Kontrolle über das Zielsystem zu erlangen“, so VMware in dem Advisory.
Außerdem hat die CISA zwei Zero-Day-Schwachstellen in den Katalog aufgenommen, die Apple letzte Woche gepatcht hat (CVE-2022-22674 und CVE-2022-22675), sowie eine kritische Schwachstelle in D-Link-Routern (CVE-2021-45382), die von der Beastmode Mirai-basierten DDoS-Kampagne aktiv als Waffe eingesetzt wurde.
Gemäß der von der CISA im November 2021 erlassenen Binding Operational Directive (BOD) müssen die Behörden der Federal Civilian Executive Branch (FCEB) die festgestellten Schwachstellen bis zum 25. April 2022 beheben.